נחשפה נוזקה שתוקפת חברות אנרגיה במערב אירופה

נחשפה נוזקה מתוחכמת, אשר מכוונת כנגד חברות אנרגיה במערב אירופה. לפי חוקרי אבטחת הסייבר של SentinelOne, הנוזקה, שכבר פגעה לפחות בחברת אנרגיה אחת, דואגת להסוות את עצמה בצורה מתוחכמת תוך שהיא מעתיקה מידע מהרשת הנפגעת ומעבירה אותו למרכז השו"ב שממנו נשלחה.

מייסדי SentinelOne הם ישראלים ופתרונותיה מיוצגים בישראל על ידי 2Bsecure, חברת אבטחת המידע והסייבר של מטריקס.

חוקרי SentinelOne לא מציינים מי היא המדינה שעומדת מאחורי ההתקפות הללו, אך היא מציינת שהן הגיעו מ"מקור מזרח אירופי". להערכת החברה, התחכום והעלות הגבוהה המוערכת לפיתוח נוזקה מסוג זה, מצביעים על כך שמדינה בעלת עוצמה עומדת מאחורי ההתקפות.

עבודה של ממשלה ממדינה עשירה

לדברי ג'וזף לאנדרי, חוקר בכיר בחברה, "כמות הזמן והמאמץ הדרושים כדי לפתח את הנוזקה, מעלים את ההשערה הכמעט בטוחה כי זו 'עבודה' של ממשלה ממדינה עשירה. בהתבסס על איך האופן בו נכתב הקוד, אני חושד שהוא פותח על ידי מהנדסים ממזרח אירופה, ואולי רוסיה. אבל – זו הערכה, כי מאוד קשה לבצע שיוך של נוזקה למדינה בה היא פותחה".

זאת לא הפעם הראשונה שחברות אנרגיה נמצאות על הכוונת של האקרים. כך, רק בדצמבר האחרון בוצעה התקפת סייבר כלפי רשת החשמל של אוקראינה. קבוצה מאורגנת של האקרים, הנקראת BlackEnergy APT התקיפה חברת אנרגיה באוקראינה. ההאקרים גרמו להפסקת חשמל במדינה במהלך חגי סוף השנה. הפסקת החשמל פגעה ב-700 אלף תושבים, ונגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת.

ניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים, העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל. באותה השנה דווח באירופה על שני אירועים נוספים שכנראה קשורים להתקפות סייבר: התקפה על מפעל פלדה בגרמניה ועל שדה התעופה פרדריק שופן בוורשה.

החוקרים מציינים כי הנוזקה פותחה כך שתוכל לפעול על כל מכשיר בסביבת Windows, והיא מסוגלת להתחמק מתוכנות אנטי-וירוס, פיירוולים, ואף מסוגלת לגבור על מכשירי קצה בהם נעשה שימוש בפתרונות ארגז חול (Sandboxing Security).

מדינה בעלת עוצמה – ולא ארגון פשע

בנוסף, הנוזקה המתוחכמת מסוגלת לגלות מתי היא מזוהה על ידי פתרונות אבטחת מידע – לרבות כאלה מבוססי טכניקת ארגז חול – ולהצפין את עצמה מחדש. זאת, על מנת למנוע זיהוי על ידי מומחי אבטחת המידע של הארגון. החוקרים של SentinelOne הצליחו לנתח את הנוזקה, על ידי ביצוע הנדסה לאחור (Reverse engineering).

"בנוזקה יש את כל הסממנים לכך שעומדת מאחוריה מדינה, לאור התחכום הרב שלה והעלות הגבוהה שכרוכה בפיתוחה והפצתה המתוחכמת", אמר אהוד שמיר, מנהל אבטחה ראשי ב-SentinelOne. "התקפות מהסוג הזה דורשות מימון גדול וידע רחב וכנראה שעומדת מאחוריהן מדינה בעלת עוצמה – ולא ארגון פשע".

SentinelOne נוסדה ב-2013 על ידי שמיר, תומר ויינגרטן, ואלמוג כהן. מטה החברה ממוקם בפאלו אלטו, קליפורניה, והיא מפעילה שני מרכזי פיתוח: בישראל ובצרפת. החברה מתמקדת בפתרונות אבטחה למכשירי הקצה בארגון, כגון טלפונים חכמים, מחשבים ניידים, עמדות מחשב, או שרתים – ומספקת הגנה כנגד נוזקות, רוגלות ופריצות לצורך כופר – Ransomware.

מתעניינים בסייבר? הירשמו כעת ל-ICS-CYBERSEC 2016, כנס איומי סייבר על מערכות שליטה ובקרה תעשייתיות.